怀化职业技术学院信息系统等保测评服务项目采购文件
怀化职业技术学院信息化经过近几年的建设,已建成了比较完整的信息系统,信息系统在学院工作中发挥越来越重要的作用。保护学院信息系统安全运行成为学院很重要的工作。经学院党委会研究同意,决定对《信息系统等保测评服务项目》采取院内公开招标,欢迎符合要求的公司投标。详细内容如下:
一、项目简介
按照公安部《关于开展全国重要信息系统安全等级保护定级工作的通知》(公信安〔2007〕861号)、《关于开展信息安全等级保护安全建设整改工作的指导意见》(公信安〔2009〕1429号)等文件要求,结合我院实际情况,通过开展学院信息安全等级保护工作,达到更好地保障学院信息系统安全和正常运行目的。
项目依据《信息安全等级保护管理办法》、《信息安全技术信息安全等级保护基本要求》以及《网路安全法》等相关法律的要求,通过对学院核心信息系统定级备案、安全整改建设、等级测评等工作,取得湖南省怀化市公安局出具的信息系统安全等级保护备案证明。最终达到提高我院信息安全防护能力、提升学院安全隐患发现能力、增强安全应急处置能力的目的。保障学院信息化安全、顺利的运行。
1、项目限价18万元。投标价不得超过最高限制。
2、服务范围
(1) 信息安全等级保护测评信息系统如下:
序号 | 系统名称 | 自定级别 | 服务内容 |
1 | 站群管理系统 | 二级 | 按照等保2.0标准进行等保测评服务 |
2 | 教务管理系统 | 二级 | 按照等保2.0标准进行等保测评服务 |
3 | 财务管理系统 | 二级 | 按照等保2.0标准进行等保测评服务 |
① 提供安全咨询;
② 学院遇到紧急重大安全事件时,提供有效应对方案,必要时提供现场服务。
3、项目周期为1年。2020年12月30日前站群管理系统、教务管理系统、财务管理系统系统均获得湖南省怀化市公安局出具的信息系统安全等级保护备案证明。
4、结算和付款方式:
(1) 投标总价为合同包干价。
(2) 中标方与采购方签署合同后15个工作日内付款合同总价的80%,中标方完成测评,出具《等级保护测评报告》并获得公安局出具的《等级保护备案证明后》再付合同总价剩余20%。付款前中标方应开具当次付款总额的正规发票,否则采购人拒绝付款。
5、此项目不接受联合体投标。
二、项目要求
1、服务内容要求
依据《信息安全技术信息安全等级保护基本要求》、《信息系统安全等级保护实施指南》、《信息系统安全等级保护测评准则》等要求,结合我院的实际情况,开展学院核心信息系统的等级测评工作。
(1) 信息资产识别
中标方对服务范围内信息系统相关的物理环境、网络结构、主机以及业务系统进行摸底调研,初步了解信息安全的状况。比照国家和行业主管部门对等级保护的定级要求,形成《信息系统安全等级保护定级报告》,并指导招标方填写《信息系统安全等级保护备案表》,协助本院完成核心系统的定级备案工作。
(2) 信息系统等级测评
在了解需要测评的信息系统基础上,确定采用的测评方式、使用的测评工具以及测评工具的接入方法,结合每个信息系统的具体情况,明确测评内容,形成详细的测评方案。
按照测评方案对各系统进行测评,收集整理测评过程中发现的问题,形成《信息系统安全等级保护差距化分析报告》。依据实用性、安全性以及经济性原则,提出安全整改建议。
(3) 信息系统安全整改
在中标方的协助下,学院按照安全整改方案的要求从两个方面进行安全整改:1、从物理安全、网络安全、主机安全、应用安全以及数据安全五个层面进行安全技术加固工作;2、从安全管理机构、安全管理制度、人员安全管理、系统建设管理以及系统运维管五个层面做好安全管理整改工作。
(4) 整改后回归测评
中标方就学院信息系统安全整改后的情况进行复评。依据差距化分析报告不符合部分的整改情况进行认真检查后,给出测评报告。并就项目进行总结,移交所有项目资料给学院。
(5) 获得等保备案证明
中标方协助学院进一步完善主管部门备案需要的资料,按当地公安部门的要求和备案流程,获得信息系统安全等级保护备案证明。
2、项目实施要求
(1) 投标人必须在投标文件中列出专业安全服务工具清单。
(2) 项目在实施过程中使用的软件和硬件均由报价人免费提供;第三方软件和硬件均应取得合法授权,不存在所有权和知识产权纠纷,投标人承担由此产生侵权和知识产权违约责任。
(3) 项目在实施工程中需要的硬件设备(如计算机、打印机等)均有中标人自行准备;采购方有权按照相关要求对设备做必要的处理;测评期间未经采购方允许,不得拷贝信息系统数据。
(4) 项目实施过程中,特别是在等保测评过程,必须保证被测评的学院核心信息系统的安全和平稳运行。
3、项目进度和质量要求
(1) 投标方应详细描述安全调查和测评的组织方式,包括组成的人员及分工、测评的过程组织、实施时间安排、测评方式所遵循的标准等。
(2) 投标方应提供本项目的测评方案,包括技术部分和实施部分。技术部分包括整体流程、技术方法和服务方案设计等,需要对每项技术方法的应用位置进行详细描述,技术方案中应详细描述本次测评采用的测评方式及标准、漏洞测试和应用分析的方法;
(3) 实施部分包括人员组织、时间安排、阶段性文档提交、验收标准、质量保证和风险规避措施等,需要明确每项工作的时间安排、操作时间和操作人员。安全调查和测评过程中,如需使用安全工具,请在实施方案中详细描述所使用的安全工具(软硬件型号、功能和性能描述)、使用的方式和时间、对环境和平台的要求等。
4、保密要求
投标方须保证对项目实施中所获取的任何信息和资料保密,并与学院签订保密协议。
5、项目工期要求
(1) 中标方须在合同生效10个工作日内完成《信息系统安全等级保护定级报告》,在15个工作日内完成《信息系统安全等级保护差距化分析报告》和《信息系统安全等级保护整改建议书》。
(2) 中标方须保证学院重要信息系统取得湖南省怀化市公安局出具的信息系统安全等级保护备案证书。
6、售后服务要求
(1) 中标方为学院提供安全咨询。
(2) 学院信息系统安全可能出现大的安全漏洞和隐患时,应及时告知学院安全风险并提出安全应对措施。
(3) 学院遇到紧急重大安全事件时,提供有效应对方案,必要时提供现场服务。
7、验收要求:
(1) 验收前提是重大核心系统获得湖南省怀化市公安局出具的核心信息系统安全等级保护备案证明。
(2) 以《信息安全技术信息安全等级保护基本要求》等做验收标准。
(3) 中标方须提供但不限于以下文档或成果,学院信息化办组织专家验收。
① 《信息系统安全等级保护定级报告》
② 《信息系统安全等级保护备案表》
③ 《信息系统安全等级测评方案》
④ 《信息系统安全等级保护差距化分析报告》
⑤ 《信息安全等级保护测评报告》
⑥ 怀化市公安局出具的《信息系统安全等级保护备案证明书》
8、投标方专业能力要求
(1) 参与信息安全等级保护的投标方应具有以下要求:
① 要求投标人是《全国等级保护测评机构推荐目录》中的服务单位,并提供网上(www.djbh.net)查询的证明材料。
(2) 评测人员要求:
① 参与本项目的技术人员不得少于5人,中标方须提供项目组织结构及技术人员详细名单以及核心成员简历。核心人员包括但不限于:项目经理、高级技术人员、关键岗位成员。
② 项目组成员必须有3年以上的安全咨询服务经验,参与信息安全等级保护工作不少于1年。具有信息安全等级测评师证书,提供相关证明材料。
③ 项目组成员确定后,未经学院同意不得擅自更改。同时保证现场人数3人(含)以上。
9、其他要求
项目实施中产生的相关报告、项目建设文档等一切成果,知识产权归学院所有。中标方未经学院同意,不得提供给第三方。
三、采购方式:
1、院内公开招标。
2、投标人资格:
① 具备《中华人民共和国政府采购法》第二十二条资格条件。
② 本项目不接受联合体投标。
③ 要求投标人是《 全国等级保护测评机构推荐目录》中的服务单位,并提供网上(www.djbh.net)查询的证明材料
四、评分方式:
1、本次评标采用综合评分法,即在最大限度地满足招标文件实质性要求前提下,按分项打分的方式进行评分。总分为100分。
2、评分细则
第六章 综合评分表
序号 | 项 目 | 分值 | |||
1 | 商务 | 40 | |||
2 | 技术 | 40 | |||
3 | 价格 | 20 | |||
∑(1+2+3+4)=100 | 100 | ||||
评审因素 | 分值 | 评分标准 | |||
投标报价20分 | 投标总价 | 20 | 满足招标文件基本资格要求、特定资格要求、实质性条款要求且投标报价中最低的投标报价为评标基准价,其价格分为满分;其他投标人的价格分统一按照以下公式计算:投标报价得分=(评标基准价/投标报价)×20 评标委员会认为投标人的报价明显低于其他通过符合性审查投标人的报价,有可能影响服务质量或者不能诚信履约的,应当要求其在评标现场合理的时间内提供书面说明,必要时提交相关证明材料;投标人不能证明其报价合理性的,评标委员会应当将其作为无效投标处理。 | ||
技术部分40分 | 满足招标文件技术要求程度 | 10 | 完全满足招标文件技术指标的计 10分,一般技术条款( 非“★”条款)每负偏离一项扣1分 ;如应答时缺项,则视同负偏离处理。 | ||
项目实施方案 | 10 | 以招标文件的技术要求为基准,应详细描述项目实施中涉及到的各个方面,包括测评项、测评方法、测评工具、人员安排、安全域划分拓扑图、项目分工界面、现场实施工作表单,符合等保工具测试要求的接入点示意图等。分档计分:优计10分,良计4分,一般计2分,未提供针对本项目实施方案的计0分。 | |||
人员资质 | 20 | 1、投标人实施本项目的项目经理同时具有高级等级保护测评师资质和公安部等级保护评估中心核发的重要信息系统保护人员CIIP-T资质的计15分(提供人员名单及其资质证书复印件,以及投标人在投标截止时间前三个月为其缴纳社保的证明材料复印件。未按要求提供的不计分) 2、投标人实施本项目的项目经理获得国家信息安全等级保护工作协调小组办公室颁发的荣誉证书的,计5分。(提供证书或证明文件复印件并加盖公章) | |||
公司实力 | 28 | 1投标人具有省级或以上质量技术监督局核发的计量认证证书的,计6分(提供证书复印件,未提供不计分) 2、投标人具有中国网络安全审查技术与认证中心颁发信息安全服务资质认证证书(风险评估资质),计6分(提供证书复印件并加盖公章) 3、投标人具有中国网络安全审查技术与认证中心颁发信息安全服务资质认证证书(安全运维资质)计6分(提供证书复印件并加盖公章) 4、投标人连续四年获得国家信息安全等级保护工作协调小组办公室颁发的先进单位的计6分(投标时须提供证书复印件并加盖投标人公章) 5、投标人获得ISO9001质量体系认证和ISO27001信息安全管理体系认证证书的,每个计2分,共计4分(投标时须提供证书复印件并加盖投标人公章) | |||
同类业绩 | 10 | 投标人提供自2016年1月1日以来等保测评案例,每个计2分,最多10分。(须提供加盖投标人公章的项目合同;没提供合同复印件的,不予计分) | |||
文件的编制
| 2 | 响应文件按招标文件规定的格式,顺序编制,并方便检索,有目录,编页码,装订成册,书面整洁无涂改,没有缺漏项,计2分,有不符合的每处扣1分,扣完为止 | |||
投标人须对以上要求提交的复印件和原件的真实性负责,如存在弄虚作假行为,将作无效投标处理,并按相关规定没收其投标保证金 | |||||
评委评分=F1×A1+F2×A2+……+Fn×An | |||||
F1、F2……Fn分别为各项评分因素的汇总得分 | |||||
五、投标文件(一正三副,资料用装订针固定,需有目录,标注页码,需密封)
1、报价(包括竞标人完成本项目所需的一切费用)。
2、投标人企业法人营业执照副本复印件(三证合一或五证合一,未完成证照合并的,需提供合法有效的营业执照副本、税务登记证副本、组织机构代码副本);
3、法定代表人授权书原件(非法定代表人直接投标适用),供应商为自然人的可不提供;
4、法定代表人及授权代表身份证复印件;
5、证明投标人业绩和荣誉的有关材料复印件;
6、投标价格;
7、投标应答表;
8、售后服务承诺;
9、投标人认为需要提供的其他文件和资料;
10、项目组成员情况表(含相关证明材料);
六、报名时间:
2020年6月22日至2020年6月26日。报名资料①法人代表委托书原件及被授权人有效身份证(原件);②《营业执照》副本复印件以及资格证明材料(加盖公章)。
报名资料通过扫描件发邮件方式报名:7077923@qq.com
七、投标方式:有投标意向的单位请由项目授权委托人持身份证携带以下资料:①法人代表委托书原件及被授权人有效身份证(原件);②《营业执照》副本复印件以及资格证明材料(加盖公章)。直接于开标当天携带相关资料参加。
注:投标人若提供虚假资料将直接导致废标,所引起的法律后果由投标人自行负责。
招标截止时间:2020年6月30日上午10:00(北京时间)
开标时间:2020年6月30日上午10:00(北京时间)
开标地点:怀化职业技术学院办公楼316,逾期送达的投标文件将不予接受。
采 购 人: 怀化职业技术学院
业务咨询联系人:陈 巍
联系电话:18774551344
招标联 系 人: 吴老师
电 话: 13787554187
地 址: 怀化市河西经开区
日 期: 2020年6月22日